資源描述:
《ISMS手冊(cè)簿-信息安全系統(tǒng)管理系統(tǒng)體系手冊(cè)簿》由會(huì)員上傳分享����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)��。
1��、實(shí)用文檔信息安全管理IT服務(wù)管理體系手冊(cè)發(fā)布令本公司按照ISO20000:2005《信息技術(shù)服務(wù)管理—規(guī)范》和ISO27001:2005《信息安全管理體系要求》以及本公司業(yè)務(wù)特點(diǎn)編制《信息安全管理&IT服務(wù)管理體系手冊(cè)》�,建立與本公司業(yè)務(wù)相一致的信息安全與IT服務(wù)管理體系,現(xiàn)予以頒布實(shí)施��。本手冊(cè)是公司法規(guī)性文件���,用于貫徹公司信息安全管理方針和目標(biāo)��,貫徹IT服務(wù)管理理念方針和服務(wù)目標(biāo)�����。為實(shí)現(xiàn)信息安全管理與IT服務(wù)管理����,開展持續(xù)改進(jìn)服務(wù)質(zhì)量,不斷提高客戶滿意度活動(dòng)����,加強(qiáng)信息安全建設(shè)的綱領(lǐng)性文件和行動(dòng)準(zhǔn)則。是全體員工必須遵守的
2��、原則性規(guī)范���。體現(xiàn)公司對(duì)社會(huì)的承諾�����,通過有效的PDCA活動(dòng)向顧客提供滿足要求的信息安全管理和IT服務(wù)。本手冊(cè)符合有關(guān)信息安全法律法規(guī)要求以及ISO20000:2005《信息技術(shù)服務(wù)管理—規(guī)范》���、ISO27001:2005《信息安全管理體系要求》和公司實(shí)際情況����。為能更好的貫徹公司管理層在信息安全與IT服務(wù)管理方面的策略和方針,根據(jù)ISO20000:2005《信息技術(shù)服務(wù)管理—規(guī)范》和ISO27001:2005《信息安全管理體系要求》的要求任命XXXXX為管理者代表���,作為本公司組織和實(shí)施“信息安全管理與IT服務(wù)管理體系”的負(fù)責(zé)
3�����、人��。直接向公司管理層報(bào)告��。全體員工必須嚴(yán)格按照《信息安全管理&IT服務(wù)管理體系手冊(cè)》要求���,自覺遵守本手冊(cè)各項(xiàng)要求,努力實(shí)現(xiàn)公司的信息安全與IT服務(wù)的方針和目標(biāo)���。管理者代表職責(zé):a)建立服務(wù)管理計(jì)劃��;文案大全實(shí)用文檔b)向組織傳達(dá)滿足服務(wù)管理目標(biāo)和持續(xù)改進(jìn)的重要性���;e)確定并提供策劃、實(shí)施、監(jiān)視���、評(píng)審和改進(jìn)服務(wù)交付和管理所需的資源���,如招聘合適的人員,管理人員的更新����;1.確保按照ISO207001:2005標(biāo)準(zhǔn)的要求,進(jìn)行資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估���,全面建立�����、實(shí)施和保持信息安全管理體系�;按照ISO/IEC20000《信息技術(shù)服務(wù)管理
4���、-規(guī)范》的要求��,組織相關(guān)資源�,建立�、實(shí)施和保持IT服務(wù)管理體系�,不斷改進(jìn)IT服務(wù)管理體系��,確保其有效性�����、適宜性和符合性����。2.負(fù)責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作����;向公司管理層報(bào)告IT服務(wù)管理體系的業(yè)績(jī),如:服務(wù)方針和服務(wù)目標(biāo)的業(yè)績(jī)��、客戶滿意度狀況�、各項(xiàng)服務(wù)活動(dòng)及改進(jìn)的要求和結(jié)果等。3.確保在整個(gè)組織內(nèi)提高信息安全風(fēng)險(xiǎn)的意識(shí)����;4.審核風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處理計(jì)劃���;5.批準(zhǔn)發(fā)布程序文件���;6.主持信息安全管理體系內(nèi)部審核����,任命審核組長(zhǎng)�,批準(zhǔn)內(nèi)審工作報(bào)告;向最高管理者報(bào)告信息安全管理體系的業(yè)績(jī)和改進(jìn)要求����,包括信息安全管理體系
5、運(yùn)行情況�、內(nèi)外部審核情況。7.推動(dòng)公司各部門領(lǐng)導(dǎo)��,積極組織全體員工�,通過工作實(shí)踐、教育培訓(xùn)����、業(yè)務(wù)指導(dǎo)等方式不斷提高員工對(duì)滿足客戶需求的重要性的認(rèn)知程度,以及為達(dá)到公司服務(wù)管理目標(biāo)所應(yīng)做出的貢獻(xiàn)�����?����?偨?jīng)理:日期:文案大全實(shí)用文檔信息安全方針和信息安全目標(biāo)信息安全方針:信息安全人人有責(zé)本公司信息安全管理方針包括內(nèi)容如下:一、信息安全管理機(jī)制1.公司采用系統(tǒng)的方法���,按照ISO/IEC27001:2005建立信息安全管理體系,全面保護(hù)本公司的信息安全��。二��、信息安全管理組織2.公司總經(jīng)理對(duì)信息安全工作全面負(fù)責(zé)��,負(fù)責(zé)批準(zhǔn)信息安全方針��,
6���、確定信息安全要求���,提供信息安全資源。3.公司總經(jīng)理任命管理者代表負(fù)責(zé)建立�����、實(shí)施����、檢查���、改進(jìn)信息安全管理體系,保證信息安全管理體系的持續(xù)適宜性和有效性����。4.在公司內(nèi)部建立信息安全組織機(jī)構(gòu),信息安全管理委員會(huì)和信息安全協(xié)調(diào)機(jī)構(gòu)�,保證信息安全管理體系的有效運(yùn)行。5.與上級(jí)部門����、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系��,了解安全要求和發(fā)展動(dòng)態(tài)�����,獲得對(duì)信息安全管理的支持����。三、人員安全6.信息安全需要全體員工的參與和支持��,全體員工都有保護(hù)信息安全的職責(zé),在勞動(dòng)合同���、崗位職責(zé)中應(yīng)包含對(duì)信息安全的要求���。特殊崗位的人員應(yīng)規(guī)定特別的安全責(zé)
7、任�����。對(duì)崗位調(diào)動(dòng)或離職人員�����,應(yīng)及時(shí)調(diào)整安全職責(zé)和權(quán)限�。7.對(duì)本公司的相關(guān)方���,要明確安全要求和安全職責(zé)�。8.定期對(duì)全體員工進(jìn)行信息安全相關(guān)教育�,包括:技能、職責(zé)和意識(shí)�。以提高安全意識(shí)。9.全體員工及相關(guān)方人員必須履行安全職責(zé)����,執(zhí)行安全方針�、程序和安全措施����。四、識(shí)別法律�����、法規(guī)���、合同中的安全10.及時(shí)識(shí)別顧客���、合作方、相關(guān)方�、法律法規(guī)對(duì)信息安全的要求,采取措施���,保證滿足安全要求�。五��、風(fēng)險(xiǎn)評(píng)估11.根據(jù)本公司業(yè)務(wù)信息安全的特點(diǎn)���、法律法規(guī)要求���,建立風(fēng)險(xiǎn)評(píng)估程序���,確定風(fēng)險(xiǎn)接受準(zhǔn)則。12.采用先進(jìn)的風(fēng)險(xiǎn)評(píng)估技術(shù)和軟件�,定期進(jìn)行風(fēng)險(xiǎn)評(píng)估,
8��、以識(shí)別本公司風(fēng)險(xiǎn)的變化�。本公司或環(huán)境發(fā)生重大變化時(shí)���,隨時(shí)評(píng)估��。13.應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果�����,采取相應(yīng)措施���,降低風(fēng)險(xiǎn)。六���、報(bào)告安全事件14.公司建立報(bào)告信息安全事件的渠道和相應(yīng)的主管部門�����。15.全體員工有報(bào)告信息安全隱患����、威脅、薄弱點(diǎn)����、事故的責(zé)任,一旦發(fā)現(xiàn)信息安全事件�,應(yīng)立即按照規(guī)定的途徑進(jìn)行報(bào)告。16.接受信息安全事件
